帆船的主要动力来源是风,当顺风的时候,风直接吹到船帆上产生推力,帆船就能够快速的前进。但当风向变成逆风时,帆船如果仍然正面鼓动风帆,不仅极难前进,甚至可能因此搁浅。
所以产生了利用侧风的操船方式,碰到逆风,要将船帆调整方向,让风与船帆形成一个约30度的角,这时侧风会变成帆船前进的动力,确保船的行进可以一路向前。
这与如今企业的生存环境何其相似,最近两年的宏观环境并不算好,新冠疫情挥之不散,以及全球局势的扑朔迷离,为企业带来了诸多的不确定性,并为企业的生存和发展提出了新的挑战。
很多企业都期待,通过数字化转型来应对不确定性因素,并能够逆风前行。但实际上,数字化的前景固然美好,但如果不能在保证安全性的前提下贸然迈向数字化,那么企业有可能遭遇的还是逆风,而不是侧风。
在8月26日的IDC 2022 CSO全球网络安全峰会(中国站)上,IDC中国区总裁霍锦洁说,“过去一年,中国产生了全球1/4的数据,但对数据安全的投资仅有全球的1/5。”
这样的数字落差背后,是业界对安全认知的缺失,只有具备了安全性的数字化转型,才称得上是侧风,是企业逆境飞扬的关键,而这同样是IDC呼吁CSO应成为企业数字化战略重要角色的动因。
不断拓宽的安全边界,和不断加剧的安全挑战
随着网络把物理世界和数字空间联到了一起,使得安全的边界变得无限宽广。
云计算的出现,让安全的边界上升到云端;5G和物联网的发展,让安全的边界从云端扩展到边缘,而人工智能和区块链等新兴技术的发展,它们的漏洞又常被网络黑客频繁利用,为企业带来更多不可预料的损失。
越是创新的企业,依赖网络联接就越多,就一定会面对更多的安全隐患。比如很多企业在走向物联网,而大多数的IOT设备基于Linux的操作系统,攻击者利用Linux的已知漏洞,就能够轻易实施攻击。还有以高安全性著称的区块链,如果被控制了节点中绝大多数计算资源,就能重改公有账本,这被称51%攻击,每年全球年区块链攻击遭受的损失总额都超过10亿美元。
很多时候,安全风险就像是多米诺骨牌一样,一个环节的偏移,就容易造成全局化的崩塌。这使得网络与IT基础设施,乃至安全,都再不能割裂存在,它们逐渐发展成为一个整体。
企业面对的安全问题,非常的碎片化,它可能会出现在任何一个企业IT架构的小角落。所以,安全对处于数字化转型过程中的企业来说,已经不再是一个单纯的问题,而是一个需要从企业IT架构的全局来思考的问题,这不仅仅是技术的改变,更是思维方式,甚至是安全价值观的颠覆。
这几年的网络攻击态势明显表现为:“老”式的攻击依然奏效,“新”式的攻击也在逐渐增加。来自网络的威胁,无孔不入,会让企业应接不暇。而安全常在企业IT架构中处于较低的位置,安全的地位应该提升到最高的层级,从全局安全的思路出发,设计全局的安全架构,会让企业在不断通过新技术拓展新业务的时候,不至于遭受不可估量的伤害。
因此,IDC发布了TechScape发展路线图,选取了18个新兴及重要的数据安全技术进行分析,并对数据安全技术的市场采纳度进行了可视化展示。“我们希望可以引领企业在未来复杂的环境之下,做好安全设备以及安全的策略的布局。并通过CSO 名人堂的评选,分享他们的成功经验,让CSO的角色成为中国企业数字化转型的重要力量。” 霍锦洁说。
企业为什么需要CSO的新角色?
相比于我们熟知的CIO或者CTO的角色,在中国真正的CSO并不多见,同时安全部门也通常在IT部门的内部,话语权不够强。
IDC中国研究副总裁钟振山坦言,很多企业的IT部门确实有CSO或者是安全技术经理的角色,通常是汇报给CIO的,但是这个逻辑本身存在矛盾。安全应该与整个数字化的进程同步,需要全局化的视角,而不是仅限于在事后查缺补漏,CSO应该独立于CIO的部门,才真正能够发挥在企业内部构建整体安全的作用。
实际上,CSO应该是一个技术与业务相结合的角色,CSO在考虑企业安全机制的同时,也需要理解业务的发展趋向,并能够驱动企业在安全能力建设方面的投入,并提升企业内部整体安全的价值。
关于如何说服CEO加大安全投入,钟振山也有两点建议:
第一,企业数字化转型,都存在法律法规的合规化需求。例如金融行业等强监管行业,都有相关的数据保护条例,这是一个企业安全建设的最低标准,也是每个企业必须遵从和投入的基本内容。
第二,从网络攻击的角度,黑客的技术永远要比厂商的技术先进,黑客也更容易去使用更新的技术去进行网络攻击。所以,企业内部的安全能力也需要不断地迭代,才能够应对日益更新的网络安全风险。
而CSO作为企业安全框架的设计者,技术与业务的管理者,理应具备整体网络安全知识,和敏锐的网络风险意识。
事实上,IDC推出CSO名人堂的评选,本质上也是希望能够把中国整体的安全的建设推向下一个阶段,并加速推动对于CSO职位的认知和重视程度,真正让企业能够把安全作为一个独立的这种核心的能力不断地建设起来。
数据安全成为安全市场的主要驱动
IDC新兴技术研究部研究总监王军民分享了几个关键数据:中国2021年,网络安全和IT安全在企业IT投入中的占比仅为3.4%,而数字化程度相对成熟的美国则高达7.3%。
这说明我国的企业过去更为重视IT的建设,而忽略了安全的建设。当IT投入资金紧张时,通常会先把安全投资砍掉一些,保证业务先能够正常运行,也验证了前文所说的安全部门在企业中地位尴尬的现实。
但好在这个差距在快速拉近,预计到2026年我国的安全IT支出占比会达到6.2%。“希望IT投资与IT安全投资的平衡,并达到一个均衡,以保证数字化乃至数字经济的稳定运行。”王军民说。
另外从市场机会上看,IDC预测到2026年,中国的网络安全市场规模将达到1000亿,而数据安全市场会占到将近20%的比例,成为安全市场发展的主要驱动。
如王军民所说,“中国数据安全技术及市场发展趋势将主要呈现出数据安全合规变成刚需、数据安全领域技术的融合、数据安全产品与服务的融合、数据安全与网络安全的融合、密码能力集成趋势逐步增强、云上数据安全合作能力进一步加强、新兴科技赋能数据安全、关注业务数据安全进行网格化管理、聚焦场景应用等特点。数据安全市场的未来将在产业协作与技术融合双重推动下加速前行。”
因此,IDC首发的TechScape研究,从不同的数据安全技术入手,给出不同数据安全技术的定义和发展理解,并详细阐述每个单项数据安全技术的发展程度、技术优劣势,以及不同技术领域下的产品推荐厂商名录,以鼓励各组织运用IDC TechScape 数据发展路线图来规划其组织内部的数据安全建设路线,并为最终用户的数据安全体系建设提供产品技术指导。
实际上,安全是一个很有意思的领域,似乎永远不在风口上,却又总是不可或缺。在过去的几年里,我们看到无数个热点不停的轮转,从云计算、大数据、物联网、人工智能,乃至区块链和元宇宙。新技术不断出现,安全策略也总是在不断进化。那么企业对安全的认知也需要同步进化,安全意识的唤醒与CSO的逻辑归位,将会是未来企业数字化转型的一条主线。